Hallo zusammen,
ich bin gerade dabei mehrere AP10 und AP30 in meiner Firma zu installieren und bin bei dem Thema "Gast-WLAN" etwas irritiert.
Folgende Ausgangslage:
Internal Network 172.16.0.0/16
GAST-WLAN Network 192.168.99.0/24
External Network 62.217.x.x/29 (Glasfaser über Cisco Router vom ISP)
WLAN (intern) bridge to AP LAN --> funktioniert einwandfrei
WLAN (Gast) getrennte Zone über wlan0
So nun möchte ich natürlich das das Gast WLAN zwar in das Internet kommt aber nicht in unser lokales LAN. Daher folgende Firewallregeln:
1. Internal Network --> Any allow
2. Gast WLAN Network --> External Network allow
In der Konfiguration läuft im Gast WLAN zwar http aber kein https. Ich vermute da wir den Web-Proxy nutzen, dass http einen Verbindungsaufbau von dem Gast WLAN auf die Gast WLAN LAN Adresse (die Astaro) erfolgreich durchführen kann. Bei https (wird nicht(!) vom Webfilter gescannt) wird die Verbindung direkt nach außen aufgebaut. Dies wird aber per DEFAULT DROP blockiert. Soweit versteh ich es noch.
Nach einiger Überlegung habe ich dann folgenden Regelsatz erstellt:
1. Gast WLAN Network --> Internal Network --> deny
2. Internal Network --> Gast WLAN Network --> deny
3. Internal Network --> Any --> allow
4. Gast WLAN Network --> External Network --> allow
Obwohl ich gelernt habe "first match" kommt der Traffic vom Gast WLAN Network ins Internal Network?
Ich bin irritiert! [:S] Kann mir jemand auf die Sprünge helfen?
Danke!
Grüße
Kai
This thread was automatically locked due to age.
Guest User!
You are not Sophos Staff.
